Dans le contexte actuel des menaces, le vol d'identifiants est l'une des causes les plus fréquentes de violations de données. Un rapport récent constaté que 61 % des violations de données impliquent une utilisation abusive d'identifiants.Les attaquants utilisent des techniques comme le phishing et le « push-bombing » (envoi massif de notifications d'authentification multifacteur) pour inciter les utilisateurs à divulguer leurs identifiants. Un seul mot de passe compromis ou une connexion approuvée par erreur suffit à un attaquant pour usurper l'identité d'un utilisateur légitime et infiltrer le réseau d'une organisation.
Lorsque j'étais RSSI dans une grande entreprise, j'ai constaté de visu les ravages qu'un simple mot de passe volé pouvait causer. Lors de cet incident, un pirate a usurpé les identifiants d'un employé et a accédé discrètement à des systèmes sensibles pendant des semaines avant d'être détecté. La faille a entraîné d'importantes interruptions de service et de graves problèmes de conformité. Après avoir contribué à limiter les dégâts, j'ai collaboré avec l'équipe informatique de l'entreprise pour renforcer la sécurité des identités : déploiement de l'authentification multifacteur (MFA) pour tous les utilisateurs, durcissement des politiques relatives aux comptes administrateurs et mise en place d'une surveillance continue. Cette expérience m'a démontré que de bonnes pratiques en matière de sécurité des identifiants ne sont pas de simples recommandations théoriques, mais de véritables protections contre des incidents que nous espérons ne jamais revivre.
Pour se prémunir contre l'utilisation abusive des identifiants, les organisations devraient cultiver de « bonnes habitudes » en sécurité d'identitéDans cet article, je présenterai cinq habitudes de sécurité essentielles pour prévenir les violations d'identifiants et j'expliquerai comment évaluer les capacités qui soutiennent chaque habitude.
1. Mettre en œuvre l'authentification multifacteurs partout
L'une des défenses les plus efficaces contre les attaques par usurpation d'identité est authentification multi-facteurs (AMF)Les mots de passe volés ne suffisent souvent pas à eux seuls pour compromettre un compte si un deuxième facteur (comme une invite d'application d'authentification ou un jeton) est requis. En fait, Microsoft a observé qui 99.9 % des comptes compromis n'avaient pas l'authentification multifacteur activée.L’absence d’authentification multifacteur a été un facteur commun dans de nombreuses violations de données très médiatisées. identifiants compromis L'absence d'authentification multifacteur, combinée à cette absence, a été un dénominateur commun à de nombreuses violations majeures en 2024/25..
L'activation de l'authentification multifacteur pour tous les utilisateurs (en particulier les administrateurs) peut enrayer la grande majorité des attaques opportunistes qui reposent sur des mots de passe volés ou devinés.
Malgré ces avantages, De nombreux comptes ne bénéficient toujours pas de la protection MFA.Pourquoi ? On croit souvent, à tort, que l'authentification multifacteur (MFA) complexifie trop les choses ou qu'elle « n'en vaut pas la peine ». Certaines équipes informatiques se heurtent à la réticence des utilisateurs ou manquent de soutien de la direction et ne sont donc pas incitées à généraliser la MFA. Dans d'autres cas, les organisations n'ont tout simplement pas étendu la MFA à certains systèmes ou applications existantes, créant ainsi des failles de sécurité. En réalité, même si la MFA de base n'est pas infaillible, elle bloque la grande majorité des attaques automatisées, ce qui en fait une pratique essentielle pour la sécurité des identifiants.
Cela dit, toutes les authentifications multifaciales ne se valent pas. Les attaquants les exploitent de plus en plus. Fatigue AMF en bombardant les utilisateurs de notifications push répétées (ce qu'on appelle le « push-bombing »). Étant donné que les gens reçoivent 60 à 80 notifications push mobiles par jour en moyenneIl est facile pour un utilisateur fatigué de cliquer accidentellement sur « Approuver » lors d'une tentative de connexion frauduleuse. Pour éviter cela, les organisations doivent mettre en place une authentification multifacteur (MFA) résistante au phishing (comme les clés de sécurité FIDO2 ou les notifications push avec vérification du code) et sensibiliser les utilisateurs à ne jamais approuver les demandes d'accès inattendues.
Il est également essentiel de trouver des solutions permettant à votre équipe d'étendre la protection MFA à chaque ressource et protocole d'un environnement.Cela concerne notamment les systèmes qui ne prennent pas en charge nativement l'authentification multifacteur (MFA). Il est donc nécessaire d'imposer la MFA non seulement sur les applications web et cloud, mais aussi sur les systèmes sur site existants (bases de données, serveurs de fichiers, outils en ligne de commande, etc.) qui, traditionnellement, ne pouvaient pas l'utiliser. En rendant l'authentification multifacteur omniprésente et difficile à contournerVous réduisez ainsi considérablement le risque qu'un seul mot de passe volé entraîne une violation de données.
2. Adopter une approche de confiance zéro en matière d'identité
Adopter une approche de « confiance zéro » en matière d'identité est une bonne habitude qui va de pair avec l'authentification multifacteur. Dans un modèle Zero Trust, Aucune connexion ni session utilisateur n'est implicitement considérée comme fiable. – même si l’utilisateur se trouve sur le réseau interne ou est déjà authentifié. Chaque tentative d’accès est vérifiée en continu en fonction du contexte (rôle de l’utilisateur, sécurité de l’appareil, localisation, heure, etc.) avant d’être autorisée. Ceci est essentiel car les entreprises modernes ont aboli les périmètres de sécurité ; L'identité est désormais la nouvelle surface d'attaque en matière de cybersécurité. Avec des utilisateurs se connectant de partout et des attaquants capables de se fondre dans l'activité normale des utilisateurs, il est crucial de « Ne jamais faire confiance, toujours vérifier » chaque utilisation d'identifiants.
Pratiquer cette habitude signifie tirer parti de politiques d'accès conditionnel et surveillance continue Pour tous les comptes. Par exemple, si un utilisateur se connecte soudainement depuis un lieu inhabituel ou un appareil non géré, des vérifications ou des restrictions supplémentaires devraient être mises en place. De nombreuses violations pourraient être évitées grâce à de tels contrôles contextuels. une enquête a révélé que des centaines d'identifiants volés restaient utiles aux attaquants simplement parce que les systèmes cibles ne disposait pas de politiques d'accès basées sur la localisation pour bloquer les connexions provenant de réseaux non fiables..
Plateformes modernes de sécurité d'identité Surveillez en permanence chaque authentification et appliquez des politiques basées sur les risquesSi une tentative de connexion s'écarte du comportement normal ou survient dans des conditions à haut risque, la démarche appropriée consiste à exiger une authentification renforcée. protocoles d'authentification (comme l'authentification multifacteur) ou même bloquer la tentative. En considérant tout accès comme non fiable jusqu'à preuve du contraire, les organisations peuvent contenir et contrer les attaquants qui parviennent à obtenir des identifiants valides.
3. Sécuriser les comptes privilégiés et à haut risque avec une attention particulière.
Il est important de protéger tous les comptes utilisateurs, mais comptes privilégiés Les comptes d'administrateurs, de service, de cadres supérieurs, etc., méritent une attention particulière, par simple précaution. Ces comptes disposent souvent d'un accès étendu et, s'ils sont compromis, peuvent causer des dommages considérables. Malheureusement, je constate de nombreux incidents où des administrateurs ou d'autres comptes à haut pouvoir de contrôle sont insuffisamment protégés. Récemment, par exemple, une organisation gouvernementale a été victime d'une intrusion via le compte d'un ancien administrateur, qui avait conservé des privilèges élevés. et n'avait pas activé l'authentification multifacteurDe même, les conséquences d'une faille de sécurité survenue en 2024 dans le cloud (visant les clients de Snowflake) ont révélé que certaines démonstrations et comptes de service L'absence de protection SSO ou MFA en faisait une cible facile pour les attaquants. La leçon est claire : Tout compte disposant d'un accès élevé doit être fortement sécurisé par de multiples niveaux de défense..
Par habitude, les organisations devraient appliquer Sécurité d'accès privilégié stricte (PAS) pratiques. Cela inclut l'utilisation de comptes d'administrateur dédiés (distincts des comptes d'administrateurs quotidiens). des comptes d'utilisateurs ou administrateurs), exigeant une authentification multifacteur pour chaque connexion privilégiée, limitant les lieux et les moments où ces comptes peuvent être utilisés, et auditant en permanence leur activité.
En pratique, cela consiste à s'assurer que les comptes d'administrateur sont systématiquement soumis à l'authentification multifacteur (MFA) et à des contrôles de sécurité, même lorsqu'ils accèdent à des systèmes tels que des bases de données ou des serveurs distants qui n'imposent généralement pas l'authentification multifacteur. Il est également possible de mettre en œuvre des politiques adaptatives (par exemple, autoriser la connexion d'administrateur de domaine uniquement depuis un serveur de rebond sécurisé, ou seulement à certaines heures).
Pour les comptes privilégiés non humains (comme les comptes de service qui ne prennent pas en charge l'authentification multifacteur), on parle de « clôture virtuelle » : il s'agit de limiter leur utilisation aux systèmes et comportements attendus. En sécurisant ainsi les comptes privilégiés et sensibles, on réduit considérablement les risques qu'un attaquant disposant d'identifiants d'administrateur volés puisse circuler librement dans votre environnement.
4. Maintenir une hygiène rigoureuse des titres de compétences
L'hygiène des identifiants fait référence à maintenance régulière des comptes et des mots de passe pour éliminer les « failles faciles » que les attaquants exploitent souvent. Une étude de cas qui donne à réfléchir Une étude de 2024 a démontré l'importance de cette habitude : les chercheurs ont constaté que 79.7 % des comptes utilisés par les attaquants avaient été compromis des années auparavant et leurs mots de passe n'avaient jamais été modifiés.En réalité, des centaines d'identifiants volés dès 2020 étaient encore valides en 2024 car ils n'avaient jamais été renouvelés ni désactivés. Les identifiants négligés – anciens mots de passe, identifiants partagés, comptes inactifs – constituent une bombe à retardement. Mettre en œuvre des mesures de sécurité rigoureuses implique de les vérifier régulièrement. rotation des mots de passe, en retirant ou en mettant à jour toute attestation d'identification dont on sait qu'elle a été divulguée, et désactiver les comptes qui ne sont plus nécessaires.
Un autre aspect essentiel de l'hygiène des titres de compétences est la rapidité départ des anciens employés. Comptes d'utilisateurs obsolètes qui persistent après le départ d'une personne de l'entreprise constituent une porte de sortie facile. Des enquêtes ont révélé à peu près La moitié des entreprises admettent que les comptes de leurs anciens employés restent actifs après leur départ.Parfois pendant des semaines, voire des mois. Il n'est donc pas surprenant qu'un nombre important d'organisations aient subi des violations de données en raison de comptes d'anciens employés non désactivés. Prenez l'habitude de désactiver ou de supprimer immédiatement l'accès lorsqu'un employé quitte l'entreprise et effectuez régulièrement des audits pour détecter tout compte « fantôme » dans votre annuaire.
Une méthode efficace pour contrôler l'hygiène consiste à garantir visibilité continue sur tous les comptes (humains et non humains) et leur utilisationLa détection automatique des comptes au sein de votre environnement – y compris les comptes de service et les identifiants inutilisés – et le signalement des comptes inactifs depuis longtemps comme « utilisateurs obsolètes » vous permettent de tenir un inventaire à jour des identités existantes. Les équipes de sécurité peuvent ainsi rapidement examiner ces comptes et les supprimer ou appliquer des politiques de blocage pour empêcher tout accès.
Ce genre de inventaire d'identité Le nettoyage est essentiel : il bloque l’une des voies d’infiltration les plus faciles empruntées par les attaquants. En bref, la mise à jour régulière, la gestion rigoureuse et le nettoyage des identifiants limiteront considérablement les possibilités d’un attaquant, même s’il parvient à obtenir certains secrets de connexion.
5. Surveiller et répondre en permanence aux menaces d'identité
Même avec des mesures préventives comme l'authentification multifacteur et une bonne hygiène, les organisations doivent partir du principe que les compromissions d'identité sont possibles. Vous pouvez Cela arrive encore. Par conséquent, une posture de sécurité « saine » inclut une détection et une réponse robustes axées sur l'identité.
Les outils de sécurité traditionnels comme les XDR peuvent avoir du mal à détecter un attaquant utilisant des identifiants légitimes ; ces actions se fondent souvent dans le comportement normal des utilisateurs et passent inaperçues. Il est donc crucial de procéder régulièrement à des vérifications. surveiller les journaux d'authentification et les activités des utilisateurs Il est essentiel de collecter les journaux d'audit de connexion sur l'ensemble des systèmes afin de détecter tout comportement suspect et de les conserver suffisamment longtemps pour mener des enquêtes. En effet, la mise en place d'une base de données centralisée, assortie d'une politique de conservation appropriée, est considérée comme une mesure de sécurité fondamentale pour la détection et l'analyse des attaques par usurpation d'identité. De nombreuses violations de données passées inaperçues pendant des mois, voire des années, auraient pu être identifiées bien plus tôt si les organisations avaient centralisé les journaux d'audit de connexion et mis en place un système d'alerte en cas d'anomalies.
Pour rendre cette habitude réalisable, tirez parti des outils qui fournissent visibilité unifiée et analyses intelligentes sur les événements d'identité. SilverfortLa plateforme de [Nom de l'entreprise], par exemple, centralise la surveillance de tout le trafic d'authentification en temps réel. Elle utilise l'apprentissage automatique et l'analyse comportementale (UEBA) pour détecter les anomalies dans les habitudes d'accès d'un utilisateur, pouvant indiquer un compte compromis. Si le compte d'un employé tente soudainement de se connecter depuis des emplacements inhabituels ou d'accéder à des ressources inhabituelles, Silverfort signalera ou bloquera automatiquement cette activité, empêchant ainsi l'attaquant d'aller plus loin. De plus, SilverfortLa console de [nom de l'entreprise] offre aux équipes de sécurité une vue en direct Inventaire d'identité et flux d'activité, afin qu'ils puissent rapidement repérer et enquêter sur toute utilisation suspecte d'un compte.
Cultiver ce niveau de vigilance – et répéter les plans de réponse aux incidents pour les scénarios de violation d'identifiants – garantit que même si une couche de défense échoue, vous pouvez rapidement détecter et contenir la menace avant qu'elle ne se transforme en une violation de données à grande échelle.
Mettre en pratique les 5 habitudes essentielles
Les violations d'identifiants restent une menace cybernétique majeure, mais l'adoption de ces cinq habitudes de sécurité peut renforcer considérablement les défenses de votre organisation.
En exigeant l'authentification multifacteur (MFA) de manière universelle, en traitant chaque tentative d'accès avec Zero TrustEn sécurisant les comptes à fort impact, en maintenant votre base de données d'identités propre et en effectuant une surveillance continue, vous créez de multiples couches de protection que les attaquants doivent surmonter.
Aucune de ces habitudes ne s'installe et ne s'oublie – elles nécessitent une vigilance constante et les outils appropriés pour les soutenir.
C’est là que les plateformes de sécurité unifiées et axées sur l’identité peuvent changer la donne.
Ils sont spécialement conçus pour vous aider à intégrer ces bonnes pratiques de sécurité dans votre environnement : Mise en œuvre de l'authentification multifacteur et de l'accès conditionnel partout, protection des comptes privilégiés et des comptes existants, identification des angles morts comme les utilisateurs inactifs et surveillance continue des menaces.
En combinant de bonnes habitudes et des capacités de sécurité axées sur l'identité, les entreprises peuvent réduire considérablement le risque de violations de données d'identification et s'assurer qu'un mot de passe volé ne se traduise jamais facilement par une attaque réussie.
Pour en savoir plus sur la manière d'intégrer ces bonnes habitudes à votre stratégie de cybersécurité, téléchargez notre guide «Le manuel de sécurité des identités. »